问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

nodejs的cookie疑问

头像
求不得
    7251267100

    比如所有的用户名都是唯一的,于是我把用户名写到cookie里去,然后根据cookie来识别用户。

    首先我不知道这么做对不对。

    其次这么做肯定是不安全的。所以我想是不是应该将用户名先加密然后再存到cookie中,那么在node中加密解密cookie用啥实现呢?

    先谢过各位了。

    javascriptnode.js
    阅读 2.8k
    3 个回答
    得票最新
    头像
    码农小兴
      7341310
      ✓ 已被采纳

      通常是使用cookie + session的组合,怎么生成session其实你可以不用自己写,Github有现成的实现,比如expressjs/session

      cookie里就存储sessionId,这样就不会从cookie里泄漏有用信息(包括可被解密的信息),比存储用户名来说更为安全。
      然后使用redis来存储以sessionId为键,用户信息为值的键值对。

      都有现成的模块,都不用自己写

      大致的代码(koa框架,用到了两个模块koa-session和koa-redis)如下:

      
const session = require('koa-generic-session');
const redisStore = require('koa-redis');
// 配置好session
app.use(session({
  store: redisStore(),
  // ttl: 3600000 * 24,
  // cookie: {
  //   path: '/',
  //   httpOnly: true,
  //   maxage: null,
  //   rewrite: true,
  //   signed: true,
  //   expires: null,
  // },
}));

//...
// 登录成功
this.session.user = user;
      头像
      Meathill
        22.6k133642

        不要写用户名嘛,写个识别码没问题。

        可以学习 PHP session 的实现方式,用户登录后,存一组信息到一个地方,给回一个 key。用户每次访问,都要用这个 key 取用户名之类的信息,取不到就要求重新登录。

        需要安全的话,可以存一个 token 和 ip,到时候验证下即可。

        头像
        zkimyes
          1.1k113

          按照你的办法不管加密还是不加密其实都不是绝对安全的,除非你的传输过程加密,也就是走的https加密协议。不然不管你加密不加密我只要获取到了你的cookie模拟请求。用户名暴露在cookie里面其实是可以的,主要的安全过程建立在传输,还有后台验证上面。https加密传输、密码加盐、登陆次数、地区、终端、ip限制,更严格的加上什么短验证等等...

          撰写回答
          你尚未登录,登录后可以
          • 和开发者交流问题的细节
          • 关注并接收问题和回答的更新提醒
          • 参与内容的编辑和改进,让解决方法与时俱进
          推荐问题